Metodikk for beredskapsanalyse

Metodikk for beredskapsanalyse

Tharsika Mariathas

Master i produktutvikling og produksjon Hovedveileder: Stein Haugen, IPK

Institutt for produksjons- og kvalitetsteknikk Innlevert: juni 2013

Norges teknisk-naturvitenskapelige universitet

0 IJ

^{Var dato} Var referanse 14.01.2013 SHG/KEDA Fakultet for ingeniørvitenskap og teknologi

Institutt for produksjons- og kvalitetsteknikk

MASTEROPPGAVE Vären 2013

for

stud.techn. Tharsika Mariathas

Metodikk for beredskapsanalyse

(Methodology for emergency preparedness analysis)

I etterkant av 22. juli har fokuset pa beredskap økt sterkt innenfor samfunnet genereit. Et viktig element for

a

kunne etablere god beredskap er at man har en god systematikk for

a

gjennomfore beredskapsanalyser, som grunnlag for

a

lage beredskapsplaner. Innenfor offshorenringen har det wert krav om beredskapsanalyser i omkring 20 âr og man har en etablert metodikk som benyttes av de fleste aktører i bransjen. Nár det gjelder offentlig forvaitning, offentlig virksomhet og private virksomheter pa land er imidlertid bildet langt mer nyansert. Det er ikke utviklet detaljert metodikk pa samme mate som offshore og gjennomforingen er i stor grad opp til de som planlegger og gjennomforer prosessen.

Oppgaven til ha som hovedformâl

a

utvikie en faglig gjennomarbeidet, systematisk og mer detaljert metodikk for gjennomforing av beredskapsanalyser. Utgangspunktet vii were arbeid som gjores i dag, krav og veiledninger fra ulike myndigheter og offentlig forvaitning samt metodikk som benyttes av Safetec Nordic i dag.

Oppgaven vil bestâ av:

1. Kartlegging av status

2. Utvikle og beskrive hovedsteg i fly metodikk

3. Utvikie detaijerte beskrivelser, ledespørsmâl, sjekklister, ledeord etc for hovedstegene 4. Konklusjoner og videre arbeid

Metodebeskrivelsen skai utformes slik at den enkelt kan benyttes som en oppskrift>> for gjennomføring av beredskapsanalyser i fremtiden.

Oppgaveiøsriingen skal basere seg pa eventueiie standarder og praktiske retningslinjer sorn

foreligger og anbefaies. Dette skal skje i nert sarnarbeid med veiledere og fagansvariig. For øvrig skai det were et aktivt sarnspill med veiledere.

Var data Var referanse Masteroppgave vâren 2013 for stud.techn. Tharsika Mariathas 14.01.2013 SHG/KEDA

Innen tre uker etter at oppgaveteksten er utlevert, skal det leveres en forstudierapport som skal inneholde følgende:

• En analyse av oppgavens problemstillinger.

• En beskrivelse av de arbeidsoppgaver som skal gjennomfores for løsning av oppgaven.

Denne beskrivelsen skal munne Ut en kiar definisjon av arbeidsoppgavenes innhold og omfang.

• En tidsplan for fremdriften av prosjektet. Planen skal utfonnes som et Gantt-skjema med angivelse av de enkelte arbeidsoppgavenes terminer, samt med angivelse av milepeler i arbeidet.

Forstudierapporten er en del av oppgavebesvarelsen og skal innarbeides i denne. Det samme skal senere fremdrifts- og avviksrapporter. Ved bedømmelsen av arbeidet legges det vekt pa at gjennomforingen er godt dokumentert.

Besvarelsen redigeres mest mulig som en forskningsrapport med et sammendrag bade pa norsk og engeisk, konklusjon, litteraturliste, innholdsfortegnelse etc. Ved utarbeidelsen av teksten skal kandidaten legge vekt pa

a

gjore teksten oversiktlig og velskrevet. Med henblikk pa lesning av besvarelsen er det viktig at de nodvendige henvisninger for korresponderende steder i tekst, tabeller og figurer anføres pa begge steder. Ved bedommelsen legges det stor vekt pa at resultatene er grundig bearbeidet, at de oppstilles tabellarisk og/eller grafisk pa en oversiktlig mAte og diskuteres utførlig.

Materiell som er utviklet i forbindelse med oppgaven, sA som prograrnvare eller fysisk utstyr er en del av besvarelsen. Dokumentasjon for korrekt bruk av dette skal sA langt som mulig ogsA vedlegges besvarelsen.

Kandidaten skal rette seg etter arbeidsreglementet ved bedriften samt etter eventuelle andre pAlegg fra bedriftsledelsen. Det tillates ikke at kandidaten griper inn i betjeningen av produksjons maskineriet, idet alle ordrer skal formidles pA vanlig mAte gjennom fabrikkens bedrifisledelse.

Eventuelle reiseutgifter, kopierings- og telefonutgifter mA bere av studenten selv med mindre andre avtaler foreligger.

Hvis kandidaten under arbeidet med oppgaven støter pA vanskeligheter, som ikke var forutsett ved oppgavens utforming og som eventuelt vil kunne kreve endringer i eller utelatelse av enkelte spørsmAl fra oppgaven, skal dette straks tas opp med instituttet.

Oppgaveteksten skal vedlegges besvarelsen og plasseres umiddelbart etter tittelsiden.

Besvarelsen skal innieveres i 1 elektronisk eksemplar(pdf-forrnat) og 2 eksemplar (innbundet).

Var dato Var referanse

Masteroppgave vàren 2013 for stud.techn. Tharsika Mariathas 14.01.2013 SHG/KEDA

Innleveringsfrist: 10. juni 2013.

Ansvarlig fag1rer/vei1eder ved NTNU: Stein Haugen

E-post: [email protected] Telefon: 73590111 / 93483907

Ekstem veileder: Grete Aastorp, Safetec Nordic

Epost: Grete.Aastorp(safetec.no TIf: 934 83 903

INSTITUTT FOR PRODUKSJONS OG KVALITETSTEKNIKK

Per Schjøerg

førsteamanuensis/instituttleder

t Haugen I1erer

Forord

Denne rapporten er skrevet av Stud.Techn. Tharsika Mariathas og er en masteroppgave gitt ved Institutt for produksjons- og kvalitetsteknikk ved Norges teknisk^-naturvitenskapelige universi tet( NTNU). Masteroppgaven har sitt grunniag i prosjektoppgaven’ Risk Assessment”. Temaet for masteroppgaven er “Metodikk for beredskapsanalyse”. Masteroppgaven er utfort iløpet av var semesteret 2013.

Trondheim, 10.06. 2013

1

Tharsika Mariathas

v

Anerkjennelse

Masteroppgaven er gjennomført i samarbeid med Safetec Nordic AS. Jeg vil gjerne takke Grete Aastorp og Anders Karlsen fra Safetec. De har gitt nødvendig veiledning i løpet av denne master- oppgaven. Takk til Professor Stein Haugen som har gitt mye veiledning og tilbakemelding. Jeg vil også takke Ingvild Vaggen Malvik som er seniorrådgiver ved Norges vassdrags- og energidirekto- rat, Aina Eltervåg som er sjefingeniør ved Petroleumstilsynet, og Arne Lunde som er avdelings- direktør i Universitets - og høgskoleavdelingen i Kunnskapsdepartemenet for all deres hjelp. I tillegg vil jeg også takke min kjæreste Niruban Yogalingam for korrektur lesing av oppgaven.

T.M.

vi

Sammendrag og konklusjon

Masteroppgavens hovedformål var å utvikle en beredskapsanalysemetodikk for landbaserte virk- somheter. For å videreutvikle eksisterende beredskapsanalysemetodikken var det viktig å se på alle aspekter av rammeverket til beredskapsprosessen. Følgende steg ble definert i den nye me- todikken:

• Definering av mål og krav

• Risikoanalyse

• Planlegging av beredskapsanalyse

• Beredskapsanalyse

• Beredskapsplan

• Implementering av planen

• Kontinuerlig forbedring av beredskapen

Definering av mål og krav ble implementert som det første steget i beredskapsprosessen.

For å oppnå vellykkede prosjekter er det viktig at bedriftene setter klare mål, og har gode re- gelverkskrav å følge. Dette er svært viktig for å kunne etablere en funksjonell beredskapsplan.

Fagpersoner fra Norges vassdrags- og energidirektorat(NVE), Petroleumstilsynet (Ptil) og Kunn- skapsdepartementet(KD) ble intervjuet som et ledd i å studere regelverkets innvirkning på be- redskapsprosessen. Det kan konkluderes med at regelverkskrav påvirker resultatene til bered- skapsanalysen, og har en betydelig innvirkning på beredskapsprosessen. Det er derfor viktig at selskapene tilegner seg oversikt over kravene fra myndigheter, forskrifter og retningslinjer fra standarder. Når mål og krav er definert kan risikoanalysen påbegynnes. Resultatene fra ri- sikoanalysen vil danne grunnlaget for beredskapsanalysen. Det er derfor viktig at analysene blir gjennomført grundig med fokus på identifikasjon av farer, barrierer, og årsak- og konsekvens- analyser.

vii Beredskapsanalysen skal sikre sammenheng mellom risikoanalyse og beredskapsplan, vur- dere om eksisterende organisatoriske og tekniske beredskapstiltak er tilstrekkelige, vurdere be- hov for ytterligere tiltak, gjennomgå definerte fare- og ulykkeshendelser(DFUer) samt ytelses- krav. Før beredskapsanalysen gjennomføres skal beredskapsfasene til de definerte fare- og ulyk- keshendelsene defineres. En viktig del av beredskapsanalysen er å etablere ledespørsmål for alle beredskapsfaser. De vil fungere som hjelpespørsmål som kan benyttes i diskusjonene. Denne øvelsen kan gjennomføres ved at deltakerne tar utgangspunkt i definerte fare- og ulykkeshen- delsene. En arbeidsgruppe bestående av alle som har en konkret rolle i håndteringen av hendel- sen drøfter seg gjennom fasene ved hjelp av ledespørsmålene.

I beredskapsanalysen ble følgende beredskapsfaser definert: oppdage, varsle, bekjempe, lede, evakuere, redde og normalisere. Beredskapsfasene bekjempe, evakuere, og redde er inspirert fra offshore metodikken. Viktigheten av disse fasene bør vurderes da behovet for å bekjempe, redde, og evakuere også vil forekomme blant landbaserte virksomheter. Ledespørsmålene til beredskapsfasene er videreutviklet og er basert på resilience tankegangen. Resilience Engineer- ing(RE) måler robustheten til en organisasjon ved å vurdere de fire egenskapene reagere, forutse, overvåke og lære. Resilience Engineering(RE) fokuserer både på ting som fungerer og går galt.

Ledespørsmålene skal bidra til å styrke korrekte handlingsmønstre.

Beredskapsplanen dekker alle stadier av en beredskapshendelse, fra oppdagelse til situasjo- nen er normalisert. Det bør gjøres en gjennomgang av beredskapsplanen for å vurdere om dens effektivitet er blitt svekket ved for eksempel skifte av personale, prosesser, materialer eller fasili- teter. Beredskapsplanen skal oppdateres jevnlig.

Metoden Resilience Analysis Grid(RAG) er implementert som et verktøy for å forbedre bered- skapsanalysen og beredskapsplanen. Resilience Analysis Grid er en metode innenfor Resilience Engineering som måler robustheten til en organisasjon ved å vurdere de fire egenskapene til resilience. Resultatene fra RAG kan benyttes til å forbedre robustheten til organisasjonen.

viii

Summary and conclusion

The main objective of this thesis was to develop an emergency preparedness analysis (EPA) met- hodology for land-based businesses. To develop the existing emergency preparedness analysis methodology, it was important to look at all aspects of the framework for emergency prepared- ness process. The new methodology has defined following steps:

• Defining the objectives and requirements

• Risk Analysis

• Planning the emergency preparedness analysis process

• Emergency preparedness analysis

• Emergency preparedness plan

• Implementation of the plan

• Continuous improvement of the emergency preparedness

The first step in this emergency preparedness process is to define the objectives and require- ments. To achieve successful projects, it is important that companies set clear goals, and have good regulatory requirements to follow. This is also very important for establishing a functional emergency preparedness plan. The impact of regulatory requirements on the emergency pre- paredness process was studied by interviewing professionals from the Norwegian Water Resources and Energy Directorate (NVE), the Petroleum Safety Authority Norway (PSA) and Ministry of Education (MD). The regulatory requirements have a great impact on the results of emergency preparedness analysis and it’s therefore important that companies acquire an overview of the requirements given by authorities, regulations, and standards. Risk Analysis is the second step in the emergency preparedness process. The results from the risk analysis will establish a good foundation for the emergency preparedness analysis. The analysis should therefore be carried out thoroughly, focusing on identification of hazards, barriers, and cause and impact analysis.

ix Emergency preparedness analysis should ensure consistency between Risk Analysis and the emergency preparedness plan. Also consider whether existing organizational and technical pre- paredness is sufficient, the need for further measures, and review defined situation of hazard and accident (DSHA) as well as performance requirements. The emergency phases of the de- fined situation of hazard and accident (DSHA) should be defined before the emergency pre- paredness analysis step. An important part of the emergency preparedness analysis is to es- tablish guiding questions for all the emergency phases. The questions should be discussed in groups.

The following phases are defined in the emergency preparedness analysis: detect, warn, combat, lead, evacuate, rescue and normalize. The emergency phases combat, evacuate, and rescue are inspired from the offshore methodology. The guiding questions for emergency pre- paredness are based on resilience thinking. Resilience Engineering (RE) measures the robust- ness of an organization by considering the properties react, anticipate, monitor and learn. Re- silience Engineering (RE) focuses on the things that go right and wrong. The guiding questions should help to strengthen the correct patterns of behavior. The emergency plan covers all sta- ges of an emergency event, from the situation is detected to its normalized. There should be a review of the emergency plan to evaluate whether its effectiveness is weakened by changes in personnel, processes, materials, or facilities. The emergency plan should be updated regularly.

The method Resilience Analysis Grid (RAG) is implemented as a tool to improve the emer- gency preparedness analysis and emergency plan. Resilience Analysis Grid is a method within the Resilience Engineering which measures the robustness of an organization by considering the four properties of resilience. The results of the RAG can be used to improve the robustness of the organization.

Innhold

Anerkjennelse . . . v

Sammendrag og konklusjon. . . vi

Summary and conclusion . . . viii

1 Innledning 2 1.1 Bakgrunn. . . 2

1.2 Mål . . . 5

1.3 Begrensninger . . . 5

1.4 Metodikk . . . 6

1.5 Strukturen i rapporten . . . 6

2 Definisjoner og forkortelser 8 2.1 Definisjoner . . . 8

2.2 Forkortelser . . . 9

3 Sammenligning av metodikk for offshore og landbasert virksomhet 11 3.1 Introduksjon . . . 11

3.1.1 Landbasert metodikk. . . 12

3.1.2 Offshore metodikk . . . 12

3.1.3 Sammenlikning av offshore og landbasert metodikk . . . 13

4 Regelverkets innvirkning på beredskapsprosessen 18 4.1 Introduksjon . . . 18

4.2 Bakgrunn. . . 19

4.2.1 Norges vassdrags- og energidirektorat . . . 19 xi

INNHOLD xii

4.2.2 Petroleumstilsynet . . . 22

4.2.3 Kunnskapsdepartementet . . . 24

4.2.4 Sammenligning av regelverkskravene fra NVE, Ptil og KD . . . 26

5 Resilience Engineering 28 5.1 Introduksjon . . . 28

5.1.1 Fra sikkerhetsstyring til Resilience Engineering . . . 29

5.1.2 Resilience Analysis Grid . . . 31

6 Rammeverk for beredskapsprosess 34 6.1 Metodebeskrivelse . . . 34

6.1.1 Definering av mål og krav . . . 36

6.1.2 Risiko- og sårbarhetsanalyse . . . 37

6.1.3 Planlegging av beredskapsanalyse . . . 42

6.1.4 Beredskapsanalyse . . . 49

6.1.5 Vurdering av beredskapsanalyseresultater . . . 58

6.1.6 Beredskapsplan . . . 58

6.1.7 Implementering av planen . . . 59

6.1.8 Kontinuerlig forbedring av beredskapen . . . 63

7 Konklusjon og anbefaling for videre arbeid 66 7.1 Konklusjon . . . 66

7.2 Anbefaling for videre arbeid . . . 67

Forstudierapport 68

Gantt diagram 71

Bibliografi 72

Curriculum Vitae 75

Figurer

1.1 Bowtie for uønskede hendelsen linjebrudd . . . 4

3.1 Rammeverk for beredskapsarbeid og risikostyring. . . 12

3.2 Beredskapsanalyseprosessen (Norsok Z-013, 2010) . . . 13

3.3 Sammenlikning av landbasert og offshore metodikk (Mariathas, 2012) . . . 14

3.4 Prosess for beredskapsanalyse med ledespørsmål (Aastorp, 2012) . . . 15

4.1 Prosessen med beredskapskonseptet(NVE, 2010) . . . 20

4.2 Elementene i samfunnssikkerhets- og beredskapsarbeid (Kunnskapsdepartemen- tet, 2011) . . . 24

5.1 Metoder brukt opp gjennom årene i sikkerhetsstyring (Hollnagel et al., 2010) . . . 29

5.2 Et systems oppførsel (Mariathas, 2012) . . . 29

5.3 Vurdering av en organisasjons motstandsdyktighet . . . 31

5.4 Resilience rangeringssystem(Hollnagel et al., 2010) . . . 32

6.1 Rammeverk for beredskapsprosess. . . 35

6.2 Energibarrieremodell (Gibson, 1961) . . . 40

6.3 Swiss cheese (Reason, 1997) . . . 40

6.4 Utvikling av ledespørsmål . . . 47

6.5 Hierarkisk kommando og kontrollprosess (NS-ISO 22320, 2011) . . . 50

6.6 Skjema for beskrivelse av DFUer og scenarioer. . . 52

6.7 Risikomatrise (Norsok Z-013, 2010) . . . 53

6.8 Matrise for utarbeidelse av Ytelseskrav . . . 55

xiii

FIGURER 1 6.9 Liste over menneskelige og organisatoriske faktorer (Rausand and Utne, 2009). . . 57 6.10 Evalueringsskjema . . . 62 6.11 Resilience rangeringssystem for beredskapsfasene . . . 63 6.12 Vurdering av beredskapsfasene . . . 64

Kapittel 1 Innledning

Terrorangrepene 11. september 2001 og 22. juli 2011 samt gisseltakingen i Algerie 16.juni 2013 er eksempler på hendelser som har ført til sterkt økning av fokus på beredskap innenfor samfun- net generelt. Disse hendelsene indikerer at bedre metoder for å analysere risiko er nødvendig.

Rapporten fra 22.juli kommisjonen (NOU:14,2012) hevder at:

"Angrepet på regjeringskvartalet 22/7 kunne ha vært forhindret gjennom effektiv iverksettel- se av allerede vedtatte sikringstiltak. Flere sikrings - og beredskapstiltak for å vanskeliggjøre nye angrep og redusere skadevirkningene burde ha vært iverksatt 22/7."

Først når en hendelse inntreffer blir det større fokus på å øke beredskapen i samfunnet. Dette bekreftes av Konsernsjef i Statoil, Helge Lund, følgende uttalelse:Sikkerheten skjerpes i Statoil- anlegg i andre land etter gisselsituasjonen i Algerie"(Lorch-Falch,2013).

1.1 Bakgrunn

Beredskap handler om evne og kapasitet til å takle samfunnets iboende sårbarhet ved forebyg- gende arbeid, håndtering av kritiske situasjoner og normalisering etter endt krise. Beredskaps- analyser og beredskapsplaner har som oppgave å forberede samfunnet eller virksomheter på hvilke hendelser som kan inntreffe og hvordan disse skal håndteres.

Beredskap: Omfatter tekniske, operasjonelle og organisatoriske tiltak som planlegges iverk- satt under ledelse av beredskapsorganisasjonen ved inntrådte fare eller ulykkessituasjoner for å beskytte mennesker, miljø og økonomiske verdier(Norsok Z-013,2010).

2

KAPITTEL 1. INNLEDNING 3

Prosjektoppgaven, Risk Assessment, Mariathas (2012) presenterte utfordringene ved den landbaserte beredskapsanalysemetodikken. Det ble konkludert at beredskapsanalysen er lite omfattende grunnet lite informasjon fra risikoanalysen og mangel på gode regelverkskrav. Det samme kan ikke sies om offshore hvor metodikken er mer detaljert og omfattende med større fokus på strategier og ytelseskrav. Masteroppgaven har derfor som hensikt å videreutvikle be- redskapsanalysemetodikken for landbaserte virksomhet.

Beredskapsanalyse: Analyse som omfatter etablering av definerte fare- og ulykkessituasjoner herunder dimensjonerende ulykkessituasjoner, etablering av funksjonskrav til beredskap, og iden- tifikasjon av tiltak for å dimensjonere beredskapen(Norsok Z-013,2010).

I tillegg viser de uforutsette hendelsene i samfunnet at det er behov for å endre synet på ri- sikobildet og videreutvikle de eksisterende metodene, slik at framtidige ulykker kan unngås og håndteres slik at konsekvensen av hendelsene minimeres.Leveson(2004) hevder blant annet at den økende kompleksiteten av systemkomponenter, endrende naturen av ulykker og teknolo- giske utviklingen gir et behov for å videreutvikle eksisterende metoder.

Ved å endre synet på risikobildet og de eksisterende metodene for å analysere risiko kan beredskapsanalysemetodikken forbedres og videreutvikles. Risikoanalyse og beredskapsanaly- se må ses i sammenheng. Denne sammenhengen er illustrert i Figur1.1som er et bow-tie dia- gram for den uønskede hendelsen linjebrudd. Bow-tie er en hensiktsmessig måte å illustrere sammenhengen mellom den uønskede hendelsen og barrierene. Risikoanalysen identifiserer mulige utløsende faktorer, sannsynlighets- og konsekvensreduserende barrierer. Ved en eksplo- sjon vil beredskapsanalysen kun se på hvordan konsekvensene kan minimeres. Risiko- og bered- skapsanalyse har forskjellig utgangspunkt for hvor i hendelseskjeden de starter. I et tilfelle som linjebrudd vil beredskapen påbegynnes øyeblikkelig etter inntreffelsen. Beredskapsanalysen vil da se på hendelsesforløpet fra høyresiden av bow-tien samt vurdere de konsekvensreduserende barrierene. Risiko- og beredskapsanalysen vil i dette tilfellet overlappe hverandre. Dermed er skillet mellom risiko- og beredskapsanalyse er litt “kunstig ", ved gjennomføring av beredskaps- analysen må risikoanalysen ses i sammenheng. Overlappingen mellom risiko- og beredskaps- analysen er illustrert i Figur1.1.

KAPITTEL 1. INNLEDNING 4

Figur 1.1: Bowtie for uønskede hendelsen linjebrudd

Problemformulering

Etter avtale med veileder har masteroppgaven blitt definert som følger:

• Litteraturstudium - gjennomgå og oppsummer relevant litteratur om beredskapsanalyse.

• Kartlegging av dagens status - sammenligne offshore og landbasert beredskapsmetodikk.

• Det skal utvikles hovedsteg i ny metodikk. Hver hovedsteg skal beskrives, diskuteres og inneholde detaljerte beskrivelser.

• Beredskapfasene og ledespørsmålene til beredskapsanalysen skal videreutvikles.

• Oppsummere, konkludere og gi anbefalinger for videre arbeid.

KAPITTEL 1. INNLEDNING 5

1.2 Mål

Oppgaven har som hovedformål å utvikle et faglig gjennomarbeidet, systematisk og mer de- taljert metodikk for gjennomføring av beredskapsanalyser for landbasert virksomhet. Utgangs- punktet vil være arbeid som gjøres i dag, etablerte standarder for risiko- og beredskapsanalyser, krav og retningslinjer fra ulike myndigheter og offentlig forvaltning, samt metodikken som be- nyttes av Safetec Nordic. Metodebeskrivelsen skal utformes slik at den enkelt kan benyttes som en oppskrift for gjennomføring av beredskapsanalyser i fremtiden. Målene er som følger:

1. En vurdering av hvilke styrker fra offshore beredskapsmetodikk som kan bygges videre på i landbaserte metodikken.

2. Skaffe oversikt over regelverkets innvirkning på beredskapsanalysen og beredskapspla- nen. Regelverk fra NVE, Ptil og KD skal sammenlignes.

3. Videreutvikle rammeverket for beredskapsprosessen.

4. Videreutvikle ledespørsmålene i beredskapsanalysen.

1.3 Begrensninger

Begrensningene i masteroppgaven er som følger:

• Det eksisterer lite litteratur om beredskapsanalyse. Metodebeskrivelsene er basert på stan- darder og forskrifter.

• Lite tilgjengelig informasjon om beredskapsanalysemetodikk.

• Metoden som nå er videreutviklet er ikke testet. Det er usikkerheter om denne vil fungere i praksis.

• Sammenligningene av regelverksrav er begrenset til Ptil, NVE og KD.

• Ved utvidet tid på masteroppgaven kunne det blitt gjort en mer omfattende studie av re- gelverkskrav. Studiet av Resilience Engineering og dens sammenheng med beredskaps- analysemetodikk kunne blitt utforsket mer i dypden.

KAPITTEL 1. INNLEDNING 6

1.4 Metodikk

Prosjektoppgaven ble i hovedsak gjennomført som en litteraturstudie med mål om å identifisere forbedringer i beredskapsanalysemetodikken i landbasert og offshore virksomhet. Prosjektopp- gaven dannet grunnlaget for videre arbeid med masteroppgaven.

Masteroppgaven presenterer innledningsvis en kort presentasjon av offshore og landbasert beredskapsmetodikk. Rapporter fra Safetec og Norsok standarden er benyttet for å presentere metoden. Forskrifter og rapporter knyttet til intervjuene med tilsynsmyndighetene er innhetet fra deres nettsider og tilsendt på mail fra fagpersoner. NTNUs bibloteksdatabase scopus har blitt benyttet for å anskaffe informasjon om beredskapsanalyse og Resilience Engineering. Relevante bøker om risikoanalyse, beredskapsanalyse og Resilence Engineering er innhentet fra bibliote- ket på Valgrinda(Institutt for Produksjons- og Kvalitetsteknikk).

1.5 Strukturen i rapporten

Resten av masteroppgaven strukturert som følger:

• Kapittel 3: Beskriver beredskapsanalysemetodikken for offshore og landbasert virksomhet og sammenligner deres styrker og svakheter.

• Kapittel 4: Gir en kort beskrivelse av Ptil, NVE og KDs regelverkskrav til beredskap.

• Kapittel 5: Presenterer teori om Resilience Engineering(RE) og Resilience Analysis Grid (RAG).

• Kapittel 6: Presenterer metodeutviklingen for hele rammeverket for beredskapsprosessen.

• Kapittel 7: Konkluderer og gir anbefaling for videre arbeid.

Kapittel 2

Definisjoner og forkortelser

2.1 Definisjoner

Beredskap:Omfatter tekniske, operasjonelle og organisatoriske tiltak som planlegges iverksatt under ledelse av beredskapsorganisasjonen ved inntrådte fare eller ulykkessituasjoner for å beskytte mennesker, miljø og økonomiske verdier (Norsok Z-013,2010).

Beredskapsanalyse:Analyse som omfatter etablering av definerte fare- og ulykkessituasjoner herunder dimensjonerende ulykkessituasjoner, etablering av funksjonskrav til beredskap, og identifikasjon av tiltak for å dimensjonere beredskapen (Norsok Z-013,2010).

Hendelse:Forekomst av eller endring i et bestemt sett med omstendigheter (NS- ISO 31000, 2009).

Konsekvens:Resultatet av en hendelse som påvirker mål. En hendelse kan medføre flere kon- sekvenser (NS- ISO 31000,2009).

Risikoanalyse:Systematisk bruk av tilgjengelig informasjon for å identifisere farer og estimere risikoen til enkeltpersoner, eiendom og miljø (IEC 60300-3-9,1995).

Resilience:Iboende evne av et system for å tilpasse dens funksjon før, under eller etter end- ringer og forstyrrelser, slik at det kan opprettholde nødvendige operasjoner under både forventede og uventede forhold (Hollnagel et al.,2006).

8

KAPITTEL 2. DEFINISJONER OG FORKORTELSER 9 Resilience Analysis Grid:En metode utviklet for å måle robustheten til en organisasjon(Hollnagel,

2010)

Sikkerhetsbarriere:Fysiske og/ eller ikke-fysiske midler planlagt å forebygge, kontrollere, eller redusere uønskede hendelser eller ulykker (Sklet,2006).

2.2 Forkortelser

DFU - Definerte fare- og ulykkeshendelser HMS - Helse, miljø og sikkerhet

IKT - Informasjons- og kommunikasjonsteknologi KD - Kunnskapsdepartementet

NVE - Norges vassdrags- og energidirektorat OD - Oljedirektoratet

Ptil - Petroleumstilsynet RE - Resilience Engineering RAG - Resilience Analysis Grid

Kapittel 3

Sammenligning av metodikk for offshore og landbasert virksomhet

3.1 Introduksjon

Dette kapittelet gir en kort oppsummering av Safetecs beredskapsanalysemetodikk for både landbaserte virksomheter og offshore installasjoner. Metodikken for land og offshore ble sam- menliknet i prosjektoppgaven, Risk AssessmentMariathas(2012). Den konkluderte med at Safe- tecs beredskapsanalysemetodikk for landbaserte virksomheter hadde behov for videreutvikling.

Figur3.3, illustrerer rammeverket for beredskapsarbeid og risikostyring.

Offshore virksomhet har lang og god erfaring med utførelser av risiko- og beredskapsanaly- ser. Dette gjør at beredskapsanalysemetodikken er mer omfattende. I tillegg stilles det strenge krav til analysene fra blant annet Petroleumstilsynet (Ptil), Oljedirektoratet(OD) og Norsok Stan- dard Z-013N om detaljerte risko- og beredskapsanalyser. Det har i mange år vært en praksis at det utføres tekniske analyser av utstyr på offshore installasjoner. Denne praksisen er ikke så ut- bredt blant alle sektorer i landbaserte virksomheter. Behovet for kvantitative analyser varierer fra sektor til sektor, men teknologiutviklingen og viktigheten av IKT -systemer de siste årene har ført til at behovet for kvantitative analyser øker.

11

KAPITTEL 3. SAMMENLIGNING AV METODIKK FOR OFFSHORE OG LANDBASERT VIRKSOMHET12

Figur 3.1: Rammeverk for beredskapsarbeid og risikostyring

3.1.1 Landbasert metodikk

En helhetlig og systematisk rammeverk for beredskapsarbeid og risikostyring innenfor landba- sert virksomhet som Safetec jobber etter kan ses iMariathas(2012). Prosessen er delt i fem faser, der hver fase har ulike delelementer og aktiviteter som bygger på hverandre. Innenfor landba- sert virksomhet er det oftest de samme personene som deltar i utførelsen av hele beredskaps- prosessen, fra definering av mål og krav til gjennomgang av øvelser. Dette gjør at kunnskap kan videreføres fra fase til fase og dermed øke effektiviteten av den kontinuerlige forbedringsproses- sen. Safetecs metodikk og prosess tar utgangspunkt iNS 5814(2008) -Krav til risikovurderinger, ogNS- ISO 31000(2009) - Risikostyring. En nærmere forklaring av hver fase kan sees i prosjekt- oppgaven, ”Risk Assessment,Mariathas(2012).

3.1.2 Offshore metodikk

Beredskapen i offshoreindustrien skal være i tråd med lover, forskrifter, standarder og selskape- nes filosofi og krav. Safetecs metodikk og prosess tar utgangspunkt i blant annet:Norsok Z-013 (2010), HMS- forskriftene fraPtil(2013b) (aktivitetsforskriften, innretningsforskriften, ramme- forskriften, styringsforskriften, teknisk og operasjonell forskrift), og retningslinjer fraolje og gass (2013). Aktivitetsforskriftens § 73 (Ref. 7)Ptil(2012a), setter krav til at operatøren eller den som står for driften av en innretning skal utarbeide en strategi for beredskap mot fare- og ulykkessi- tuasjoner. Beredskapen skal etableres på grunnlag av resultater fra risiko- og beredskapsanaly- ser, definerte fare- og ulykkesituasjoner og barrierenes ytelseskrav. Figur3.2er hentet fraNorsok Z-013(2010) og presenterer elementene i beredskapsanalyseprosessen og beredskapsetablering i sammenheng med innspill fra risikoanalysen.

KAPITTEL 3. SAMMENLIGNING AV METODIKK FOR OFFSHORE OG LANDBASERT VIRKSOMHET13

Figur 3.2: Beredskapsanalyseprosessen (Norsok Z-013,2010)

3.1.3 Sammenlikning av offshore og landbasert metodikk

Dette delkapittelet sammenligner metodikken for landbasert og offshore virksomhet og presen- terer styrkene og svakhetene ved metodikkene. Sammenligningen er illustrert i Figur3.3.

• Definering av mål og krav:Innenfor landbasert metodikk benyttes denne fasen for å kart- legge tiltak som må gjennomføres for at selskapene skal nå sine mål. Hovedhensikten er å avdekke eventuelle avvik mellom dagens risikonivå og ønsket risikonivå. I enkelte tilfel- ler setter ikke virksomheten egne mål og krav som en del av beredskapsprosessen, hvilket gjør at denne fasen er nødvendig før oppstart av arbeidet. Innenfor offshoremetodikken er fareidentifikasjon den første fasen, men ved utførelsen av både risiko- og beredskapsana- lysene tas det hensyn til lover og regler fra tilsynsmyndighetene, retningslinjer fraNorsok Z-013(2010) og andre relevante forskrifter. Offshore definerer mål og ambisjonsnivå før analysene utføres.

KAPITTEL 3. SAMMENLIGNING AV METODIKK FOR OFFSHORE OG LANDBASERT VIRKSOMHET14

Figur 3.3: Sammenlikning av landbasert og offshore metodikk (Mariathas,2012)

• Risikoanalyse:Risikoanalysen skal blant annet avdekke mulige farekilder, redusere virk- somhetens sårbarhet mot konsekvensene av uønskede hendelser og kriser, og få et oppda- tert risikobilde for analyseobjektet. Tradisjonelt utføres det flere kvalitative analyser enn kvantitative innenfor landbasert virksomhet.Offshore fokuserer mye på kvantitative ana- lyser, men grunnet teknologiutviklingen og økt bruk av avanserte IKT- systemer har beho- vet for kvantitative analyser også økt innen landbasert virksomhet. Grunnet mengden av kvantitative analyser i offshore er risikoanalysen mye mer omfattende sammenliknet med landbasert virksomhet. I tillegg er kravene som stilles til risikoanalysen fra myndigheter og direktorater mindre strenge i landbasert virksomhet.

I offshore virksomhet utføres det flere kvantitative enn kvalitative analyser for å sikre tek- nisk sikkerhet. Risikoanalysen inneholder informasjon, forventninger og antagelser for ulike fare- og ulykkeshendelser. Denne informasjonen benyttes også i beredskapssam- menheng av flere grunner: (1) sikre at relevante scenarioer er vurdert for dimensjone- ring av beredskapen, (2) tydeliggjøre sammenhengen mellom risikoanalysen og bered- skapsanalysen, beredskapsplaner, trening og øvelser, (3) skaffe informasjon til hjelp for beslutningstagning i nødssituasjoner. Regelverkskravene som stilles fra tilsynsmyndighe- tene skal tas i betraktning ved utførelse av analysene.

KAPITTEL 3. SAMMENLIGNING AV METODIKK FOR OFFSHORE OG LANDBASERT VIRKSOMHET15

• Beredskapsanalyse:Risikoanalysen legger grunnlaget for å etablere en god beredskaps- analyse. Målet med beredskapsanalysen er blant annet: (1) å avstemme forventninger mellom de ulike aktørene som har en rolle i ledelsen, (2) vurdere tilgjengeligheten av res- surser, (3) rolleavklaring mellom de eksterne og interne aktørene i beredskapsprosessen og (4) kvalitetssikring av tiltaksplan som viser hvilke funksjoner som har ansvar for de ulike aksjonspunktene i et hendelsesforløp. Risikoanalysen inneholder liten grad av kvan- titative analyser innenfor landbasert virksomhet. Dette gir utfordringer for definering av yteleskrav for de etablerte barrierene. Ofte stilles det ikke strenge krav til beredskapsana- lysen fra tilsynsorganer og dette resulterer i en mindre omfattende beredskapsanalyse.

Resultatene fra analysen brukes til å lage en beredskapsplan som viser hvilke funksjoner som har ansvar for de ulike aksjonspunktene i et hendelsesforløp. I beredskapsanalysen blir håndtering av hendelsen delt inn i forskjellige faser. For landbasert virksomhet har Safetec definert opptil seks faser: oppdage, varsle, mobilisere, håndtere, informere og nor- malisere. Dette er illustrert i Figur3.4. Ledespørsmålene som er presentert i hver fase kan videreutvikles og vil bli presentert som en del av metodeutviklingen i kapittel 6. Offshore benytter seg av fasene beskrevet iNorsok Z-013(2010); varsling, farebegrensning, redning, evakuering og normalisering. Analysen gjennomføres ved at alle de som har en rolle i hen- delsen tar utgangspunkt i et scenario og drøfter hvordan de skal lede hendelsen.

Figur 3.4: Prosess for beredskapsanalyse med ledespørsmål (Aastorp,2012)

KAPITTEL 3. SAMMENLIGNING AV METODIKK FOR OFFSHORE OG LANDBASERT VIRKSOMHET16

Innen offshore industrien er mye av informasjonen fra QRA brukt som input til bered- skapsanalysen. Dette gjør at beredskapsanalysen er mer detaljert og fokusert på strategi- er og ytelseskrav. Beredskapsanalysen starter med identifikasjon av farer og etablering av DFUer. I beredskapsanalysen legges det vekt på å lage gode og presise scenariobeskrivel- ser for DFUene. Beskrivelsene er basert på informasjon fra risikoanalysen samt erfaring, noe som gir en detaljert beskrivelse av konsekvenser, omfang og skader.

• Beredskapsplan:Beredskapsanalysen danner grunnlaget for etablering av beredskaps- planen og det er viktig å ta hensyn til resultatet fra analysen før etableringen av planen.

Beredskapsplanlegging handler om å forberede seg på ekstraordinære hendelser som ikke kan håndteres ved hjelp av virksomhetenes ordinære ressurser og rutiner. I beredskaps- planen avklares grensesnittet mellom samarbeidende parter. Deretter lages det en bered- skapsplan slik at situasjonen kan håndteres best mulig. Ansvarsfordelingen dokumenteres og gjennomgås systematisk i den landbaserte metoden, hvilket er en styrke. Grunnlaget for å lage en funksjonell og akseptabel beredskapsplan er ikke spikret når beredskapsana- lysen er lite omfattende i landbasert virksomhet. Beredskapsplanen er godt beskrevet og dokumentert i offshore metodikk grunnet at det settes ytelseskrav og andre krav fra til- synsorganene. Dette fører videre til at planen er mer konkret og målbar. I tillegg er selska- pene dyktige til å sette mål og ambisjonsnivå.

• Øvelser: Øvelser er nødvendig for å kunne håndtere en krisesituasjon best mulig. Øvel- ser kan ledes av bedriftenes beredskapsorganisasjon eller eksterne konsulentselskaper.

Øvelsene kan gjennomføres ved at deltakerne tar utgangspunkt i et scenario. Scenario- et drøftes av en arbeidsgruppe bestående av alle som har en konkret rolle i ledelsen av hendelsen. Dette blir oftest beskrevet som en refleksjonsøvelse. Øvingsformen er egnet som introduksjon, repetisjon, og for å avklare komplekse rolle- og ansvarsforhold.

Kapittel 4

Regelverkets innvirkning på beredskapsprosessen

4.1 Introduksjon

Sikkerhet i arbeidslivet og privatlivet for mennesker, miljø/natur og økonomiske verdier blir styrt av lover, forskrifter, veiledninger og standarder. Regelverkskrav er en viktig faktor ved ut- formingen av en beredskapsplan, da lover og regler blir sett på som sentrale virkemidler i sam- funnsstyringen. Innenfor landbasert virksomhet fører forskjellige myndigheter og direktorater tilsyn innenfor de forskjellige sektorene. Dette medfører variasjon i kravene som stilles for risiko- og beredskapsanalysene samt beredskapsplaner innenfor en gitt sektor. Hvor strenge, etablerte og etterlevbare kravene er vil variere fra sektor til sektor. I dette delkapittelet vil lover og forskrif- ter fra Norges vassdrags- og energidirektorat(NVE), Petroleumstilsynet (Ptil) og Kunnskapsde- partementet(KD) bli sammenlignet, i tillegg vil innvirkningen de har på beredskapsprosessen bli diskutert. Denne sammenligningen vil danne et godt grunnlag for forbedring av beredskaps- analysemetodikken for landbasert virksomhet, som vil bli presentert i kapittel 6.

18

KAPITTEL 4. REGELVERKETS INNVIRKNING PÅ BEREDSKAPSPROSESSEN 19

4.2 Bakgrunn

Lover fastsettes av Stortinget og forskriftene fastsettes av departementer og direktorater. Både lover og forskrifter er bindende krav, mens veiledninger og standarder er ikke juridisk binden- de. Tilsynsorganer stiller også krav til sikkerheten i samfunnet. I dag finnes det over 30 tilsyns- organer som for eksempel: Statens jernbanetilsyn, Statens vegvesen, Statens helsetilsyn, Ptil, Direktoratet for samfunnssikkerhet og beredskap(DSB), Oljedirektoratet og NVE. Tilsynsorga- nene innen sikkerhets -og beredskapsområdet er i hovedsak opprettet som direktorater, tilsyn eller lignende organer underlagt departementene (Aven et al., 2004). Justis- og beredskapsde- partementet gir instrukser for departementenes arbeid med samfunnssikkerhet og beredskap.

Formålet med disse instruksene er å fremme et helthetlig og koordinert samfunnssikkerhets- og beredskapsarbeid, dette styrker samfunnets evne til å forebygge og håndtere kriser.

4.2.1 Norges vassdrags- og energidirektorat

Norges vassdrags- og energidirektorat (NVE) ble grunnlagt i 1921 og er underlagt Olje - og energi- departementet. NVE har ansvar for å forvalte vass- og energiressursene i Norge, samt redusere risikoen for skader som følge av skred og flom. NVE fører tilsyn med etterlevelse av beredskaps- regelverket i energiforsyningen og har ansvaret for å samordne beredskapsplanleggingen. Kraft- forsyningens beredskaporganisasjon(KBO) er etablert som en landsomfattende organisasjon for å lede landets kraftforsyning under beredskap og i krig. KBO består av NVE og de virksomheter som står for energiforsyningen. Alle enheter i KBO har en selvstendig plikt til å sørge for effektiv sikring og beredskap, og for å iverksette tiltak for å forebygge, begrense og håndtere virkninge- ne av ekstraordinære situasjoner. Det er også viktig at det trekkes lærdom fra de ekstraordinære hendelsene. Figur4.1illustrerer det helhetlige beredskapskonseptet til NVE.

KAPITTEL 4. REGELVERKETS INNVIRKNING PÅ BEREDSKAPSPROSESSEN 20

Figur 4.1: Prosessen med beredskapskonseptet(NVE,2010)

NVE har med utgangspunkt i oppdrag fra Olje- og energidepartementet gjennomgått regel- verket for beredskap i energiforsyningen. Forskrift om forebyggende sikkerhet og beredskap i energiforsyningen trådte i kraft 01.01.2013 (NVE,2013). Kravene er som følger:

• § 2-3. Beredskapsplikt:Virksomhet som er omfattet av denne forskrift, skal sørge for effek- tiv sikring og beredskap, og skal iverksette tiltak for å forebygge, håndtere og begrense virk- ningene av ekstraordinære situasjoner i samsvar med energiloven § 9-2 første ledd(Lovdata, 2013b).

• § 2-5. Beredskapsplanlegging:Alle KBO-enheter skal ha et oppdatert beredskapsplanverk tilpasset virksomhetens art og omfang. Planverket skal bygge på risiko- og sårbarhetsana- lyser og skal omfatte alle beredskapstiltak etter denne forskriften. Beredskapsplanleggingen skal blant annet omfatte forberedelser og tiltak det kan bli nødvendig å iverksette ved sto- re ulykker, vesentlige skader, trusselsituasjoner, rasjonering og andre ekstraordinære situa- sjoner som kan påvirke energiforsyningens drift og sikkerhet. Beredskapsplanverket skal, innenfor rammene av kapittel 6 om informasjonssikkerhet, samordnes med berørte myn- digheter og andre relevante virksomheter, deriblant andre KBO-enheter.(Lovdata,2013b)

• § 2-7. Øvelser:Alle KBO-enheter skal gjennomføre øvelser med slikt innhold og omfang at enheten vedlikeholder og utvikler sin kompetanse til å håndtere alle aktuelle ekstraordinæ-

KAPITTEL 4. REGELVERKETS INNVIRKNING PÅ BEREDSKAPSPROSESSEN 21

re situasjoner. Virksomheten skal ha en flerårig øvelsesplan og gjennomføre minimum én årlig øvelse.(Lovdata,2013b)

Bakgrunnen for revidering av regelverket er et resultat av endring i energiloven, gjennom- førelse av flere prosjekter knyttet til bestemmelser om reparasjonsberedskap, fjernvarme, in- formasjonssikkerhet og beskyttelse av driftskontroll/IKT. Det er også tatt hensyn til erfaringer og evalueringer gjennom de siste års beredskapstilsyn, øvelser og reelle hendelser i perioden 2007-2012. I alt har 59 organisasjoner, selskaper, kommuner og fylkesmenn gitt høringsinnspill til forskriftsendringen. NVE har høstet erfaringer fra det løpende beredskapsarbeidet og samar- beidet med kraftbransjen. Alle ekstraordinære hendelser skal rapporteres til NVE etter paragraf (tidl.§ 7-1) i dagens beredskapsforskrift. Dette innebærer at NVE har god oversikt over ulike ty- per hendelser bransjen har erfart. NVE stiller gjennom forskriftsendringene krav som medfører styrket kvalitet i virksomhetens arbeid mot å forebygge og håndtere ekstraordinære situasjo- ner. De nye kravene reduserer kostnader og konsekvenser for samfunnet ved ekstremvær som Dagmar. Ny forskrift stiller krav til årlig oppdatering av risikoanalyser, og krav til samordning av beredskapsplaner og evalueringer som tilbakefører erfaringer fra hendelser og øvelser inn i planverket. NVE vil peke på at utkastet til ny beredskapsforskrift representerer en blanding av funksjonskrav og spesifikke krav. Funksjonskrav er en betegnelse på regler som stiller krav til resultatet eller funksjonen uten å angi hvordan resultatet skal oppnås. Bakgrunnen for at NVE mener det er nødvendig å finne en balanse mellom funksjonskrav og spesifikke krav er for å ty- deliggjøre innholdet i bestemmelser. Kravene skal i størst mulig grad forenkles og klargjøres for alle parter. Det er mye diskusjoner rundt funksjonskrav og hvilken betydning de har for bered- skapen. Hvor generelle skal funksjonskravene være? Funksjonskrav kan gi mer fleksibilitet ved for eksempel tilpasning av teknologisk utvikling, men samtidig kan kravene være så generelle at det er utfordrende å oppfatte hvilke krav som konkret stilles. NVE påpeker at funksjonskravene kan være både generelle og mer detaljerte alt etter hva som er praktisk og nødvendig. I tillegg er regelverket i tråd med føringer i St. melding. nr 19(2008-09),Ei forvaltning for demokrati og fel- leskap(Høegh and Gjengstø,2012). I meldingen er det påpekt at funksjonskrav er en utfordring innenfor regelverksutvikling. Det fremgår av meldingen at regelverkene skal være lett å etterleve og omfanget skal ikke være større enn nødvendig. Regulering og tilsyn skal ta utgangspunkt i der det er størst risiko, og der sjansene for reduksjon av risiko er størst.

KAPITTEL 4. REGELVERKETS INNVIRKNING PÅ BEREDSKAPSPROSESSEN 22 Intervju

Ingvild Vaggen Malvik som er seniorrådgiver ved tilsyns- og beredskapsavdelingen i Oslo ble intervjuet 1. 3. 2013 i forbindelse med denne masteroppgaven. Hun er fornøyd med den nye be- redskapsforskriften og påpeker at lovendringene ikke er en konsekvens av terrorangrepet 22.juli.

2011, men at fokus på beredskap ble skjerpet etter hendelsen.

Malvik forteller at: Beredskapsøvelsene de siste årene har vært en viktig faktor med tanke på utforming av ny beredskapsforskrift. Det er dratt lærdom fra håndteringen av de uønskede hendelsene. Endring i forskrift har absolutt vært nødvendig med tanke på teknologiutviklingen det siste tiåret. Informasjonssikkerhet har også fått økt fokus de siste årene, det er derfor også viktig å ivareta IKT beredskapen i energiforsyningen. Forskriftsendringen har ført til nye og spe- sifikke krav. I den gamle forskriften var funksjonskravene for lite spesifikke, noe som gjorde at risikoanalysene og beredskapsplanene ikke fanget opp alt som var relevant.

4.2.2 Petroleumstilsynet

Petroleumstilsynet (Ptil) ble 1.1. 2004 etablert som et selvstendig statlig tilsynsorgan med kon- tor i Stavanger med 160 medarbeidere. Ptil har myndighetsansvaret for teknisk og operasjonell sikkerhet for offshoreinstallasjoner og onshoreanlegg. De fører tilsyn med at næringen etterle- ver de rammene og vilkårene som er fastsatt for virksomheten. Alle aktører som deltar i petro- leumsvirksomheten plikter å sikre at regelverket blir etterlevd. Ptil har blant annet etablert en beredskapsvaktordning som sikrer at etaten blir varslet om fare- og ulykkessituasjoner, dette muliggjør varsling av hendelser til andre involverte myndigheter i henhold til etablerte avta- ler. De mest kritiske hendelsene havner i tilsynets beredskapssentral. Ptils beredskapstelefon er bemannet døgnet rundt, hele året. Beredskapsvakten mottar og registrerer varslede hendel- ser, samt første vurdering av alvorlighet og avgjør hvordan hendelsen skal følges opp. I en be- redskapssituasjon fører Ptil tilsyn med at operatørene forholder seg til kravene i regelverket.

Utførelse av tilsyn baseres på HMS- forskriftene: rammeforskriften, styringsforskriften, innret- ningsforskriften, aktivitetsforskriften og teknisk og operasjonell forskrift. Forskriftskravene er som følger:

KAPITTEL 4. REGELVERKETS INNVIRKNING PÅ BEREDSKAPSPROSESSEN 23

• § 17 Beredskapsanalyser: Beredskapsanalyser skal utføres og inngå som en del av beslut- ningsgrunnlaget blant annet når en skal: a) definere fare- og ulykkessituasjoner, b) sette ytelseskrav til beredskapen, c) velge og dimensjonere beredskapstiltak(Ptil,2012b).

• § 73 Beredskapsetablering:Operatøren eller den som står for driften av en innretning, skal utarbeide en strategi for beredskap mot fare- og ulykkessituasjoner, jf. også § 9 bokstav c.

Beredskapen skal etableres på grunnlag av resultater fra risiko- og beredskapsanalyser som nevnt i styringsforskriften § 17 og de definerte fare- og ulykkessituasjonene og ytelseskravene til barrierene, jf. styringsforskriften § 5(Ptil,2012a).

• § 76 Beredskapsplaner:Det skal utarbeides beredskapsplaner som til enhver tid beskriver beredskapen og inneholder aksjonsplaner for de definerte fare- og ulykkessituasjonen(Ptil, 2012a).

• § 23 Trening og øvelser:En beredskapsøvelse som omfatter alt personell på innretningen, bør utføres minst en gang i løpet av en oppholdsperiode. Mønstrings- pg evakueringsrutiner bør inngå som en del av grunnlaget for øvelsen. Det bør utføres minst en årlig øvelse for beredskapsledelsen og for den regionale beredskapen mot akutt forurensning(Ptil,2012a).

Intervju

Aina Eltervåg som er sjefingeniør ved Petroleumstilsynet i Stavanger ble intervjuet 19.3.2013 i forbindelse med denne masteroppgaven. Eltervåg forteller at endringer i forskrifter er basert på blant annet erfaringer og hendelser. Hun understreker viktigheten av å lære fra de tidligere uønskede hendelsene for å unngå tilsvarende hendelser i fremtiden. Erfaringer og resultater fra trening og øvelser skal bidra til forbedringer av framtidig beredskap. Det legges stor vekt på etab- lering av tekniske, operasjonelle og organisatoriske barrierer som en viktig del av risiko og bered- skapsanalysen. Dette gjenspeiles iPtil(2013d). Selv om barrieretenkningen har eksistert lenge i offshore, ser Ptil fortsatt behovet for å øke fokuset på etablering og styring av barrierer for opp- nå maksimal risikoreduksjon. Aina Eltervåg henviser til “ Varsel om tilsyn med styring og ledelse av beredskap på Oseberg C "Ptil(2013d). Denne tilsynsaktiviteten har oppstart i uke 20 2013.

Formålet med tilsynsaktiviteten er å sikre at beredskapsanalyser blir utarbeidet, implementert,

KAPITTEL 4. REGELVERKETS INNVIRKNING PÅ BEREDSKAPSPROSESSEN 24 brukt og fulgt opp systematisk. Som en følge av regelverkets krav skal operatøren ha etablert bar- rierer basert på de gjennomførte analysene, satt ytelseskrav samt oppfølging og vedlikehold i et livsløpsperspektiv. Tilsynet er hovedsaklig rettet mot ivaretakelse av kravene fra HMS- forskrif- tene. Det stilles konkrete krav til etablering og presentasjon av risiko- og beredskapsanalyser.

Ved behov deltar Ptil på øvelsene. I denne verifikasjonen vil Ptil delta på gjennomgangen av be- redskapsøvelsene på innretningen Oseberg C, der hele beredskapsorganisasjonen er involvert.

Eltervåg forteller at Ptil har lang erfaring med styring av risiko og beredskapsarbeid.

4.2.3 Kunnskapsdepartementet

Kunnskapsdepartementet(KD) er et departement som ble opprettet av Jens Stoltenbergs andre regjering i 1.1. 2006 og ledes i dag av kunnskapsministeren Kristin Halvorsen. KD har ansvaret for barnehager, grunnskole, videregående opplæring, høyere utdanning og forskning med 300 ansatte fordelt på sju avdelinger og en enhet for kommunikasjon. KD arbeider for at Norge skal ha et godt og effektivt utdanningssystem samt produktive og kreative forskningsmiljøer (Regje- ringen,2013). Kunnskapsdepartementets overordnede mål for arbeidet med samfunnssikkerhet og beredskap i kunnskapssektoren er å forebygge uønskede hendelser og minske konsekvense- ne dersom de skulle oppstå (Kunnskapsdepartementet,2011). For å oppfylle det overordnede målet, er det viktig at det utarbeides risko- og sårbarhetsanalyser, krise- og beredskapsplaner som sikrer god krisehåndtering. Sammenhengen mellom elementene i samfunnssikkerhets- og beredskapsarbeidet som KD følger er vist i Figur4.2.

Figur 4.2: Elementene i samfunnssikkerhets- og beredskapsarbeid (Kunnskapsdepartementet, 2011)

KAPITTEL 4. REGELVERKETS INNVIRKNING PÅ BEREDSKAPSPROSESSEN 25 III. Grunnleggende prinsipper for arbeidet med samfunnssikkerhet og beredskap

Beredskapsarbeidet bygger på fire grunnleggende prinsipper:

1. Ansvarsprinsippet som innebærer at den organisasjon som har ansvar for et fagområde i en normalsituasjon, også har ansvaret for nødvendige beredskapsforberedelser og for å håndtere ekstraordinære hendelser på området.

2. Likhetsprinsippet som betyr at den organisasjon man opererer med under kriser i ut- gangspunktet skal være mest mulig lik den organisasjon man har til daglig.

3. Nærhetsprinsippet som betyr at kriser organisatorisk skal håndteres på lavest mulige nivå.

4. Samvirkeprinsippet som betyr at myndigheter, virksomheter eller etater har et selvstendig ansvar for å sikre et best mulig samvirke med relevante aktører og virksomheter i arbeidet med forebygging, beredskap og krisehåndtering.

Kravene som stilles fra Justis- og beredskapsdepartementet er som følger:

IV. Departementenes arbeid med samfunnssikkerhet og beredskap:

Departementene skal utvikle og vedlikeholde beredskapsplanverk for departementets krisehånd- tering, herunder en plan for krisekommunikasjon. De skal øve regelmessig innen eget sektorom- råde og delta i tverrsektorielle øvelser. Departementet skal evaluere øvelser og håndtering av hen- delser, og foreta nødvendige forbedringstiltak(Lovdata,2013a).

Intervju

Arne Lunde som er avdelingsdirektør i Universitets - og høgskoleavdelingen i KD ble intervjuet 12.4.2013 i forbindelse med denne masteroppgaven. Arne Lunde forteller at: kravene til bered- skap har økt siden KD først begynte med tilsynsaktiviteten i 2006. Kravene har blitt mer formelle og tydeligere enn for 7 år siden. Det stilles mer konkrete krav til informasjonssikkerhet grunnet den store teknologiutviklingen de siste årene. Jeg er fornøyd med dagens krav som stilles til risiko- og beredskapsanalysene, men mener fortsatt at det er en lang vei igjen før beredskapsanalysene og planene kan defineres som gode og tilfredsstillende.

Han forteller også at risikobildet er veldig annerledes sammenliknet med offshore og and- re industrier. KD fokuserer mye på ivaretakelse av menneskenes sikkerhet og kulturelle verdier.

KAPITTEL 4. REGELVERKETS INNVIRKNING PÅ BEREDSKAPSPROSESSEN 26 Beredskapsanalysen til KD består hovedsaklig av etablering av DFU’er, kartlegging av interne og eksterne ressurser samt fordeling av roller. Lunde forteller at kommunikasjon og ansvarsforde- ling internt er en utfordring. Ved en beredskapssituasjon er det mye støtte fra eksterne ressurser deriblant politiet. Den akutte innsatsen fra tilstedeværende personell er noe utfordrende. Her er det viktig å ha god kommunikasjon mellom alle relevante aktører.

4.2.4 Sammenligning av regelverkskravene fra NVE, Ptil og KD

Etter sammenligningen av regelverkskravene og intervjurunder med NVE, Ptil og KD kan det konkluderes med at tilsynsaktiviteten varierer mellom disse sektorene. Sektorene er meget for- skjellige, og dette medfører til at risikobildet blir forskjellig. NVE og Ptil har lengre erfaring med håndtering av risiko og beredskap, noe som fører til at de er mer rutinerte ved utførelse av til- syn. KD begynte med tilsynsaktiviteten i 2006, noe som tyder på at de har mye å lære fra Ptil og NVE. I en studie som har vurdert styrker og svakheter i beredskapen på norsk sokkel fram- går følgende:Offshoreansatte opplever beredskapen som god – og klart bedre enn for ti år siden.

Petroleumstilsynets granskinger og tilsyn peker i samme retning(Ptil,2009).

Vurderingen av styrkene og svakhetene er blant annet basert på analyser av tilsynsrappor- ter og granskinger, resultater fra Risikonivå i norsk petroleumsvirksomhet(RNNP), statistikk fra selskaper, hendelsesdata og intervjuer. Phiper Alpha ulykken(1988) og Deepwater Horizon ulyk- ken(2010) er eksempler på hendelser som har ført til at offshore industrien har skjerpet bered- skapen på norsk sokkel. I offshoreindustrien er det mye fokus på å lære fra tidligere hendelser, slik at tap av liv, miljø og økonomi kan unngås i fremtiden. Ptil har krav som krever kontinu- erlig risikoreduksjon i offshoreindustrien, men det samme kan ikke sies om KD. Det eksisterer lite kvantitative analyser, og kravene som stilles til analysene er ikke detaljerte som fra Ptil og NVE. Dette gir utfordringer for definering av ytelseskrav. Dersom behovet for kvantitative ana- lyser er mindre, eller om lenge har vært en praksis å legge større vekt på kvalitative analyser, er noe som kan diskuteres. Det er uansett behov for mer fokus på kvantitative analyser ettersom anvendelsen og viktigheten av IKT- systemer har økt de siste årene.

KD har et helt annet syn på risiko og hvordan dette skal styres. For eksempel er begrepet barriere og tolkningen av det varierende i de forskjellige sektorene. Begrepet barriere er brukt og kjent i enkelte industrier som offshore, men dette er nokså ukjent i Kunnskapsdepartementet.

KAPITTEL 4. REGELVERKETS INNVIRKNING PÅ BEREDSKAPSPROSESSEN 27 Barrierer er mer eller mindre kjent som sannsynlighets og konsekvensreduserende tiltak. Dette tyder på at de personene som jobber med beredskapen i de forskjellige sektorene har forskjellige bakgrunn og kunnskaper.

Kapittel 5

Resilience Engineering

5.1 Introduksjon

Resilience kan defineres som den iboende evne av et system for å tilpasse dens funksjon før, under eller etter endringer og forstyrrelser, slik at det kan opprettholde nødvendige operasjoner under både forventede og uventede forhold (Hollnagel et al.,2006). Hovedmålet med Resilien- ce Engineering (RE) er å opprettholde et høyt sikkerhetsnivå i systemet eller organisasjonen, uansett produksjons- og effektivitetspress. RE ble utviklet for å møte de nye sikkerhetsmessige utfordringene som oppstår ved økt bruk av komplekse sosio-tekniske systemer. I dag er bruken av RE i petroleumsvirksomheten under utvikling, men i lufttrafikken og helsetjenesten har RE blitt brukt lenge og har gitt en betydelig mengde kunnskap og erfaring. Functional Resonance Analysis method (FRAM) og Resilience Analysis Grid (RAG) er to metoder som er utviklet med utgangspunkt i Resilience Engineering. Risikovurderingsmetoder har utviklet seg de siste årene som kan ses fra Figur5.1. Dette kapittelet vil presentere metoder og konsepter som vil være med å styrke beredskapsanalyseprosessen. Fordeler ved bruk av metoden RAG i en beredskapsana- lyse vil bli presentert i kapittel 6.

28

KAPITTEL 5. RESILIENCE ENGINEERING 29

Figur 5.1: Metoder brukt opp gjennom årene i sikkerhetsstyring (Hollnagel et al.,2010)

5.1.1 Fra sikkerhetsstyring til Resilience Engineering

Risikostyring har tradisjonelt sett fokusert på hva som kan gå galt, men det har vært lite eller in- gen fokus på ting som går rett til tross for at dette skjer langt oftere enn ting som går galt. I mot- setning til sikkerhetsstyring dekker Resilience Engineering alle mulige utfall, både ting som fun- gerer og går galt. Den normale variabiliteten skal styrkes og det skal legges til rette for normale utfall. Enkelt sagt, økt sannsynlighet for at noe fungerer, reduserer sannsynligheten for at noe går galt (Hollnagel et al.,2010). Figur5.2illustrerer sammenligningen av resilience tenking og tra- disjonell risiko tenking. Grensen for normal oppførsel er utvidet for å gjøre systemet/prosessen mer robust.

Figur 5.2: Et systems oppførsel (Mariathas,2012)

KAPITTEL 5. RESILIENCE ENGINEERING 30 De fire egenskapene til Resilience

For å være en robust organisasjon må de være i stand til å utføre bestemte handlinger som kan uttrykkes av fire grunnleggende egenskaper (Hollnagel,2010).

• Egenskapen til å reagere: En robust organisasjon må kunne respondere på regelmessige og uregelmessig variasjoner, forstyrrelser og muligheter. For å være i stand til å respon- dere må organisasjonen oppdage at noe har skjedd og vurdere viktigheten av hendelsen, deretter vite hvordan og når de skal respondere på hendelsen. Det er viktig å reagere ef- fektivt, slik at ønskede resultater eller endringer kan oppnås før det er for sent.

• Egenskapen til å overvåke:En robust organisasjon må ha gode overvåkingsprosedyrer og vite hva de skal fokusere på, slik at en hendelse kan oppdages og korrigeres i tide. For å kunne overleve i det lange løp, må organisasjonen være i stand til å både overvåke sin egen ytelse samt miljømessige forandringer. Overvåkelse skal baseres på proaktive indikatorer.

Begrepet indikator har flere definisjoner, menØien(2001)definerer begrepet som følger:

“En indikator er en målbar / operasjonell variabel som kan brukes til å beskrive tilstanden til et større fenomen eller aspekt av virkeligheten "(Øien,2001).

• Egenskapen til å forutse:En robust organisasjon må være i stand til å vurdere mulige frem- tidige hendelser, forhold eller endringer som kan påvirke organisasjonens evne til å funge- re enten positivt eller negativt. Endringer kan innebære teknologisk utvikling, endringer i kundenes behov eller nye regelverk.

• Egenskapen til å lære:En robust organisasjon må være i stand til å lære av erfaring. Det er nødvendig å forstå hendelsen og være i stand til å trekke lærdom fra erfaringer. Effekten av læringen er atferdsendringen til en organisasjon. Hvis det ikke er endring i atferd, da har trolig ingenting blitt lært. Dersom endringene går i feil retning, så har feil lærdom blitt tillært. Dermed kan det konkluderes med at fremtidig ytelse kan forbedres dersom det foreligger en endring i oppførsel som følge av erfaring.

KAPITTEL 5. RESILIENCE ENGINEERING 31

5.1.2 Resilience Analysis Grid

The Resilience Analysis Grid (RAG) ble utviklet av (Hollnagel,2010) for å måle robusthet til en organisasjon. Utgangspunktet for RAG er de fire egenskapene til en robust organisasjon som nevnt tidligere. Robusthet refererer til noe en organisasjon gjør, i stedet for noe en organisasjon har. Det er ikke mulig å presentere robusthet ved en enkel måling. Løsningen er å evaluere hver av de fire egenskapene som til sammen definerer robusthet. Detaljert vurdering av de fire ferdig- hetene krever litt kompetanse i RE og sikkerhetsstyring. Mest av alt kreves det god kjennskap til hvordan organisasjonen fungerer. De fire egenskapene kan vurderes ved hjelp av metoden RAG, hvor det er utviklet noen spørsmål til hver av egenskapene. Hver evne blir rangert ved hjelp av kategoriene: utmerket, tilfredsstillende, akseptabelt, uakseptabelt, mangelfull eller totalt mang- lende. Spørsmålene bør tilpasses for å møte til organisasjonen. Spørsmålene fra metoden kan brukes som grunnlag for å definere hvordan robustheten til organisasjonen kan økes. Spørs- målene kan bli besvart av de som er involvert i arbeidet, som kan være alle fra operatører til ledere(Hollnagel,2010). Figur5.3illustrerer hvordan de ulike egenskapene kan bli rangert.

Figur 5.3: Vurdering av en organisasjons motstandsdyktighet

For hver evne kan det etableres så mange spørsmål som ønskelig.Hollnagel(2010) har defi- nert noen generelle spørsmål som kan stilles under de fire egenskapene:

KAPITTEL 5. RESILIENCE ENGINEERING 32

• Egenskapen til å reagere:Hvor klar er organisasjonen til å reagere? Hvor raskt og effektivt vil de reagere når noe uventet skjer?

• Egenskapen til å overvåke:Hvor dyktig er organisasjonen til å oppdage mindre eller større endringer i arbeidsforhold (internt og / eller eksternt) som kan påvirke organisasjonens evne til å utføre nåværende eller planlagte operasjoner?

• Egenskapen til å forutse:Hvor stor innsats gjør organisasjonen for å forutse hva som kan skje i nærmeste fremtiden?

• Egenskapen til å lære:Egenskapen kan bli evaluert ved hjelp av følgende spørsmål: Hvor dyktig er organisasjonen til å bruke formelle og uformelle muligheter til å ta lærdom fra hendelser i fortiden?

Hvert spørsmål kan besvares og rangeres fra skala 0-5 (totalt manglende - utmerket) ved å krys- se av i den aktuelle boksen illustrert i Figur5.3. Dette gir en rask vurdering av den nåværende robustheten til organisasjonen. Resultatet av vurderingen kan vises på forskjellige måter, for ek- sempel som stjernediagrammet illustrert i Figur 5.4nedenfor. Figuren viser 16 spørsmål som hver har blitt rangert fra skala 0-5, hvor 0 er innerste sirkelen og 5 er ytterste. Verdiene er til- feldig tildelt for illustrasjonsformål. Hvordan dette kan brukes i beredskapsanalyseprosessen vil bli presentert i kapittel 6.

Figur 5.4: Resilience rangeringssystem(Hollnagel et al.,2010)

Kapittel 6

Rammeverk for beredskapsprosess

6.1 Metodebeskrivelse

Med utgangspunkt i Safetecs metodiske konsept avAastorp(2012),Norsok Z-013(2010) ogNS- ISO 31000(2009) er det gitt et forslag til et forbedret rammeverk for beredskapsarbeid og risiko- styring. Styrkene fra offshore metodikken som ble identifisert i kapittel 3, regelverkets innvirk- ning på beredskapsprosessen som ble diskutert i kapittel 4 og resilience tenkingen fra kapittel 5, vil danne et godt grunnlag for videreutviklingen av metodikken for landbasert virksomhet.

Denne metodebeskrivelsen vil inneholde fasene og stegene som vil være en viktig del av en beredskapsprosess, samt illustrere sammenhengen mellom disse. Metoden består av syv steg, disse er illustrert i Figur6.1. I tillegg skal rammeverket overvåkes og gjennomgås for å sikre at beredskapsprosessen er effektiv. Kommunikasjon og konsultasjon med eksterne og interne in- teressenter bør gjøres i alle trinn av beredskapsprosessen. Alle faser vil bli beskrevet steg for steg i dette kapittelet. Denne metodebeskrivelsen skal kunne benyttes som en oppskrift for gjen- nomføring av beredskapsprosesser i fremtiden.

34

KAPITTEL 6. RAMMEVERK FOR BEREDSKAPSPROSESS 35

Figur 6.1: Rammeverk for beredskapsprosess

KAPITTEL 6. RAMMEVERK FOR BEREDSKAPSPROSESS 36

6.1.1 Definering av mål og krav

Definering av mål og krav er det første steget i en beredskapsprosess og denne bør fastsettes før utførelse av analyser. For å oppnå vellykkede prosjekter er det viktig å sette klare mål. Dette er svært viktig for å kunne etablere en funksjonell beredskapsplan. Ved å ha definert klare og tydelige mål styrkes beredskapen hos en bedrift. Sikkerhetsmål og akseptkriterier bør etableres som en del av beredskapsprosessen. Beskrivelsene av disse er hentet fra,Norsok Z-013(2010) og Ptil(2012b).

• Fastsetting av sikkerhetsmål:Sikkerhetsmålene uttrykker en tilstand eller et sikkerhets- nivå som for eksempel samfunnet, virksomheten eller bedriften ønsker å oppnå på lang eller kort sikt. Sikkerhetsmålene skal sikre at planlegging, vedlikehold og videreutvikling av sikkerhetsnivået i bedriften blir en dynamisk og fremtidsrettet prosess. Sikkerhetsmålene kan uttrykkes som langsiktige mål og kortsiktige mål. Eksempler på slike mål er:Bedriftens hovedmålsetting når det gjelder sikkerhet, er at dens virksomhet ikke skal forårsake ulykker, skader eller tap. Dette gjelder tap av menneskeliv, miljø-ødeleggelser og økonomiske tap.

Det anbefales at alle bedrifter har en sikkerhetspolicy som synliggjør sikkerhetsmålene.

Sikkerhetsmålene skal sørge for at ulykker unngås, at det er lavest mulig risiko i bedriften til enhver tid og kontinuerlig reduksjon av risiko på bakgrunn av den teknologiske utvik- lingen og erfaringer.

• Fastsetting av akseptkriterier: Akseptkriterier for risiko gir uttrykk for det overordnede risikonivået uttrykt i risikoanalysen, som defineres tolererbart med hensyn til en definert tidsperiode eller en fase av aktiviteten. Akseptkriterier utgjør en referanse ved vurdering av behovet for risikoreduserende tiltak og skal derfor foreligge før gjennomføringen av risikoanalysen. Data som legges til grunn for utarbeidelse av kvantitative akseptkriterier skal dokumenteres. Akseptkriteriene skal så langt som mulig reflektere virksomhetens sik- kerhetsmål og særegenhet. Ytterligere risikoreduksjon skal alltid vurderes, selv når resul- tatene fra risikoanalyser eller risikovurderinger tilsier et risikonivå under akseptkriteriene.

Dette innebærer ofte en vurdering mot kostnader i forhold til hvilken effekt risikoreduse- rende tiltakene har. Behovet for å oppdatere akseptkriteriene skal evalueres regelmessig som et element i kontinuerlige forbedring av sikkerhet (Norsok Z-013,2010).